Firma
La sección Firma de la consola web de administración le ayuda a definir los diferentes perfiles de firma y servidores de marcas de tiempo que se aplican en el momento de responder a la firma de un documento realizada a través del servicio de firma DSS.
Perfiles DSS
Esta vista proporciona una lista de los perfiles definidos, así como funciones para buscar y filtrar elementos.
Un perfil de firma consta de una serie de parámetros que se aplican o comprueban en el momento de la firma. Algunos de estos parámetros pueden tener un valor forzado en el perfil u ofrecer un rango de posibles valores a elegir por el cliente. La siguiente tabla muestra el comportamiento del servicio de firma dependiendo de si un parámetro está forzado en el perfil y/o la petición especifica un valor concreto para ese parámetro.
| Valor forzado | Rango de valores | |
|---|---|---|
| Solicitud con valor especificado compatible con el perfil. | Firma con valor especificado / forzado. | Firma con valor especificado en la solicitud. |
| Solicitud con valor especificado no compatible con el perfil. | Retorno de error. | Retorno de error. |
| Solicitud con valor no especificado. | Firma con valor especificado al perfil. | Retorno de error. |
Asistente de creación de firmas
General
El botón Nuevo abre un asistente donde se define el perfil de firma.
El primer paso consiste en elegir un nombre para el perfil, el estado del perfil y el tipo de firma en el que se basará el perfil.
| Configuración | Descripción |
|---|---|
| Nombre | Nombre descriptivo del perfil. Debe ser único, ya que será el identificador del perfil en el momento de la solicitud de firma contra el servicio. |
| Estado | Estado del perfil (activado/desactivado). |
| Seleccione un tipo de firma | Selecciona el tipo de firma entre CMS, XMLDSIG, XAdES, CAdES, PAdES. |
Configuración
Dependiendo del tipo de firma seleccionado, los siguientes pasos del asistente variarán. A continuación se muestran las opciones de configuración para XAdES, que es la que tiene todas las opciones de configuración posibles.
| Sección | Configuración | Descripción |
|---|---|---|
| Niveles | Forzar | Permite especificar qué nivel de firma debe cumplir el perfil. Elija un posible conjunto de niveles o fuerce uno específico. |
| Seleccione los niveles de firma | CMS and XMLDSig: Sin niveles. | |
| XAdES and CAdES BES: formulario básico que simplemente cumple los requisitos legales de la Directiva de firma electrónica avanzada. EPES: basic form to which signature policy information has been added. T: (timestamp), añade un campo de sello de tiempo para proteger contra el repudio C: (completa), añade referencias a datos de verificación (certificados y listas de revocación) a los documentos firmados para permitir la verificación y validación off-line en el futuro (pero no almacena los datos en sí). X: (ampliada), añade marcas de tiempo a las referencias introducidas por C para evitar que una cadena de certificados se vea comprometida en el futuro. XL: (extended long-term) añade los propios certificados y listas de revocación a los documentos firmados para permitir la verificación en el futuro incluso si las fuentes originales (búsqueda de certificados o listas de revocación) ya no están disponibles. A: (archiving), añade la posibilidad de sellado de tiempo periódico (por ejemplo, cada año) de los documentos archivados para evitar que se vean comprometidos debido a la debilidad de la firma durante un largo periodo de almacenamiento. | ||
| PAdES BES: formulario básico que simplemente cumple los requisitos legales de la directiva para la firma electrónica avanzada. EPES: formulario básico al que se ha añadido información sobre la política de firma LTV: Este nivel permite una firma válida más allá de la validez del propio certificado de firma. | ||
| Modos | Forzar | Permite especificar el modo de firma. Permite especificar el modo de firma Elegir un conjunto posible o forzar un valor o uno de ellos. |
| Modos permitidos | Enveloped: (XMLDSig, XAdES, PAdES) La firma está dentro del propio documento firmado. Enveloping: (CMS, XMLDSig, CAdES, XAdES) El documento firmado está dentro de la firma. Detached: (CMS, XMLDSig, CAdES, XAdES) La firma y el documento original firmado están en ficheros separados. Para validar la firma, ésta debe ir siempre acompañada del documento original. | |
| Algoritmos | Firma | Permite elegir un conjunto de algoritmos de firma y un algoritmo de resumen. Los algoritmos de firma admitidos para cada tipo son: RSA: (CMS, XMLDSig, CAdES, XAdES, PAdES) el tipo más extendido, es válido tanto para cifrado como para firma. DSA: (CAdES, XAdES, PAdES) estándar del Gobierno Federal de los Estados Unidos de América, se utiliza para firmar pero no para cifrar y requiere más tiempo de cálculo que RSA. ECDSA: (CAdES, XAdES, PAdES) modificación de DSA, utiliza operaciones en puntos de curva elíptica. |
| Resumen | Los algoritmos de resumen admitidos para cada tipo son: SHA1: (CMS, XMLDSig, CAdES, XAdES, PAdES) Secure Hash Algorithm, segunda versión del sistema, produce un compendio de 20 bits. Se desaconseja el uso de este método. SHA256 y SHA512: (CAdES, XAdES, PAdES) Dos de las cuatro funciones de SHA2, que es la siguiente versión de SHA1, producen resúmenes de 32 y 64 bits respectivamente. |
TSA (opcional)
En este paso puedes elegir los servidores TSA (Time Stamp Authority) que el servidor puede utilizar para estampar la hora de las firmas que lo requieran. Puedes elegir un servidor primario y otro secundario, que se utilizarán solo si el primario no está disponible.
En caso de que no se elija ninguna TSA y el perfil de firma requiera sellado de tiempo, se utilizarán los servidores de sellado de tiempo de mayor prioridad definidos en el sistema.
Consulte la sección TSAs de este manual para configurar y añadir autoridades de sellado de tiempo al sistema.
Política (opcional)
En este paso puede especificar si las firmas deben incluir una referencia a su conformidad con una política y/o compromiso de firma concretos. Puedes especificar la política usando un identificador OID y/o un hash de política. También puedes definir el tipo de compromiso de firma agregando un ID externo.
El uso de políticas de firma está restringido al nivel EPES y superiores.
Validación (opcional)
Antes de firmar un documento, puedes especificar si se requiere alguna validación. Los tipos de validación disponibles son Validación de certificado y Validación de la cadena de certificados.
La opción Validación de certificado permite especificar si es necesario validar el certificado de firma antes de firmar. Si el certificado no es válido, la firma fallará. Se puede configurar quién realiza esta validación, por defecto la realiza el propio dispositivo, pero se puede configurar para que se realice externamente a través de un servicio proporcionado por terceros.
La opción Validación de cadena de certificados da la posibilidad de especificar un conjunto de certificados que el certificado de firma debe tener dentro de su cadena de confianza. En caso contrario, se rechaza la solicitud de firma. Los certificados disponibles para esta cadena son los que se encuentran en la sección CAs locales. Esta opción permite restringir el acceso de una firma a los certificados emitidos únicamente por una CA específica.
Gestión de perfiles y versionado
Redtrust permite el versionado de perfiles de firma. Los perfiles son inmutables, una vez creados no pueden ser modificados, lo que garantiza la integridad de todas las firmas realizadas con ese perfil. Se puede versionar el perfil modificando los parámetros requeridos. Dado que las firmas incluyen su versión, cualquier nueva solicitud tendrá en cuenta los nuevos parámetros al tiempo que incluirá referencias a versiones anteriores.
Para crear una versión de un perfil, mantenga el puntero sobre el perfil y seleccione Versión.
Esta opción abre un cuadro de diálogo de perfil. Puede editar los parámetros de la versión, pero no el nombre ni el tipo de firma.
El campo Versión indica la versión del perfil y de los datos. La opción de deshabilitar es útil cuando tienes varias versiones del mismo perfil, la versión que se tiene en cuenta es la que está habilitada, dejando las otras versiones deshabilitadas.
Usando el filtro, puede elegir ver solo los perfiles activos o recientes o ver todas las versiones.
TSAs
Una Autoridad de Sellado de Tiempo (TSA) es un tercero de confianza que emite sellos de tiempo para verificar la existencia de un documento o dato en un momento determinado. Estas marcas de tiempo tienen que ser seguras para servir como prueba de tiempo para transacciones relevantes.
Creación de TSA
La pestaña TSA ayuda a crear TSA que cumplen con el estándar RFC 3161. Puede incluir estas autoridades en los perfiles de firma como servidores primarios y/o secundarios del protocolo de sellado de tiempo.
El botón Nueva TSA abre un cuadro de diálogo en el que se define la TSA. Para registrar una nueva TSA, hay que especificar un nombre y la URL del servicio. Opcionalmente, si el servicio lo requiere, se puede especificar la política que utilizará la TSA y/o los datos de autenticación frente al servicio.
| Configuración | Descripción |
|---|---|
| Nombre | |
| URL | |
| Prioridad | Indica qué TSA se utilizará como prioridad en caso de que el perfil no especifique ninguna TSA pero la firma que se intenta generar la requiera. |
| Estado | |
| Política | |
| Autenticación |
Gestión de la TSA
La gestión, tanto individual como masiva, de los elementos de la lista de CST se realiza del mismo modo que en otras secciones de la consola web de administración. Seleccionando varias TSA, se pueden eliminar o activar/desactivar como grupo.
Al hacer clic en una TSA, se abre una ventana de visualización que permite modificar los datos de la TSA.